Académique Documents
Professionnel Documents
Culture Documents
La deuxième partie nous renseigne sur le top des pays d'où proviennent les IP de nos alertes (sources et destinations).
La troisième partie du Dashboard est un maps qui permet de voir la localisation de nos IP contenu dans les logs (sources et destinations).
Nouveau CorelDRAW
Outils de conception pros au bout de vos doigts. Achetez, téléchargez-les instantanément.
CorelDRAW Télécharger
https://www.memoireonline.com/10/21/12256/m_Mise-en-place-dun-systeme-de-gestion-centralise-des-logs-et-des-evenements--SIEM-24.html 1/3
17/06/2022 22:32 Memoire Online - Mise en place d'un système de gestion centralisé des logs et des évènements « SIEM » - Joseph DEM…
La dernière partie du Dashboard est la plus instructive car elle permet d'avoir une panoplie d'informations sur nos logs (horodatage, nom de la
machine, les ports, le types d'attaque, le type de système d'exploitation utilisé, son architecture, et plein d'autre information).
58
59
Cette partie sera consacré à une série de scénario d'attaque que peut faire un attaquant sur nos systèmes et tester le fonctionnement de notre SIEM en
différentes attaques. Les attaques suivantes seront réalisées pour tester le fonctionnement de notre SIEM :
· Désactivation du firewall
· Attaque de Brute force des répertoires d'un serveur Web (Fuzzing Web)
Une attaque dite « brute force SSH » consiste à des tentatives de connexions SSH effectuant une succession d'essais pour découvrir un couple utilisa
valide afin de prendre le contrôle de la machine. Il s'agit d'une attaque très répandue et toute machine exposée sur internet se verra attaquer plusieurs
plus d'information voir [7]
Pour chaque tentative d'authentification échoué le démon SSH génère un journal syslog ressemblant à celui-ci :
Apr 25 19:55:10 tiger2 sshd[2525]: Failed password for joseph from 1.2.3.4 port 48459 ssh2
Ce journal permet de récupérer le nom d'utilisateur, l'adresse IP et le port utilisés pour une tentative de connexion.
A travers Filebeat les logs SSH sont acheminé vers Elasticsearch et à travers le moteur de détection de Kibana nous allons créer une règle de dét
permettre de détecter une attaque par brute force SSH.
https://www.memoireonline.com/10/21/12256/m_Mise-en-place-dun-systeme-de-gestion-centralise-des-logs-et-des-evenements--SIEM-24.html 2/3
17/06/2022 22:32 Memoire Online - Mise en place d'un système de gestion centralisé des logs et des évènements « SIEM » - Joseph DEM…
Pour créer cette règle nous allons nous rendre dans le moteur de détection de Kibana situé dans la barre à gauche puis ensuite aller dans "Manage de
60
précé
Recherche
CorelDRAW
TÉLÉCHARGER
Nouveau CorelDRAW
https://www.memoireonline.com/10/21/12256/m_Mise-en-place-dun-systeme-de-gestion-centralise-des-logs-et-des-evenements--SIEM-24.html 3/3